How Today’s Threats Prey on the Human Factor

Bedrohungen durch Insider nehmen (immer noch) zu: Ponemon-Bericht 2022

Insider-Bedrohungen stellen eine ernste Gefahr für Unternehmen aller Größen dar – und sie zu ignorieren, kann zu hohen Kosten führen. Zwischenfälle durch Insider verursachen im Schnitt pro Jahr mehr als 15 Millionen US-Dollar.

Ursache von Insider-Bedrohungen sind nicht nur fahrlässig handelnde Insider; 2022 berichten immer mehr Unternehmen, dass Anmeldedatendiebstahl zunehmend zu einem Problem wird. Erschwerend kommt hinzu, dass die Behebung einer Insider-Bedrohung nun 85 Tage dauert. Vor zwei Jahren waren es noch durchschnittlich 77 Tage.

Angesichts der immer komplexeren Cybersicherheitslandschaft ist es wichtig, die Entwicklungen bei Insider-Bedrohungen im Blick zu behalten, sodass Sie im Ernstfall die Risiken, die Kosten sowie die Folgen eines Zwischenfalls mit einer proaktiven Strategie minimieren können. Die folgenden Erkenntnisse aus dem vom Ponemon Institute durchgeführten Bericht zu weltweiten Kosten von Insider-Bedrohungen 2022 können Ihnen helfen, diese Bedrohungen besser zu verstehen und zu verhindern:

Insider-Bedrohungen nehmen stetig zu

2020 berichteten wir, dass die Kosten durch Insider-Bedrohungen gestiegen sind. Dieser Trend setzt sich im Jahr 2022 weiter fort.

Ein Vergleich mit älteren Daten zeigt, dass Insider-Bedrohungen nicht abnehmen. Seit 2020 sind die Kosten zur Bewältigung von Insider-bezogenen Sicherheitsproblemen um 34 % gestiegen – von 11,45 Millionen US-Dollar (2020) auf 15,38 Millionen US-Dollar (2022). Im Jahr 2022 nahm auch die Zahl der Insider-Zwischenfälle um 44 % zu.

Warum genau steigt das Risiko von Insider-Bedrohungen für Unternehmen weiter an? Die Antwort liegt eindeutig in der gestiegenen Nutzung hybrider Arbeitsmodelle, der beschleunigten digitalen Transformation und dem rasch zunehmenden Einsatz Cloud-basierter Anwendungen.

Anzeichen dafür, dass Ihr Unternehmen für Insider-Bedrohungen anfällig ist

Hier sind einige Warnsignale, die darauf hinweisen, dass Ihr Unternehmen Insider-Bedrohungen gegenüber noch wachsamer sein sollte:

  • Ihre Mitarbeiter sind nicht ausreichend darin geschult, Gesetze, Vorschriften oder rechtliche Vorgaben für ihre Arbeit vollständig zu verstehen und anzuwenden, was sich auf die Sicherheit des Unternehmens auswirkt. (Bitte beachten Sie, dass Schulungen zur Sensibilisierung für Sicherheit regelmäßig durchgeführt werden sollten, besonders wenn es neue Entwicklungen in der Cybersicherheit gibt.)
  • Ihr Unternehmen hat eine inkonsequente Geräterichtlinie, die Mitarbeiter im Unklaren darüber lässt, welche Vorkehrungen sie treffen sollten, um die vom Arbeitgeber gestellten und privaten Geräte jederzeit zu schützen. Dazu gehört, die Geräte und die Anwendungen kontinuierlich zu patchen bzw. auf die neuesten Versionen zu aktualisieren.
  • Mitarbeiter veröffentlichen höchst vertrauliche Daten in öffentlichen Bereichen der Cloud und gefährden dadurch das Unternehmen.
  • Die Sicherheitsrichtlinien Ihres Unternehmens werden regelmäßig von Mitarbeitern missachtet, die versuchen, sich die Arbeit leichter zu machen und ihre Produktivität zu steigern.

Nicht alle Bedrohungen durch Insider sind gleich

Nicht alle Insider-Bedrohungen haben die gleiche Ursache. Zudem hängt auch das Ausmaß der entstandenen Schäden von der Quelle der Bedrohung sowie von der Branche ab. Wenn Sie wissen, wo Insider-Bedrohungen am ehesten großen Schaden verursachen, kann Ihr Unternehmen feststellen, welche Schwachstellen zuerst beseitigt werden sollten und wie Insider mit potenziell hohem Risiko effektiv überwacht werden können.

Dies sind die drei wichtigsten Arten von Insider-Bedrohungen und die damit verbundenen Kosten:

  • Fahrlässig handelnde Insider: Fahrlässig handelnde Insider machen den höchsten Anteil (56 %) der Zwischenfälle aus – womit belegt ist, dass auch scheinbar harmlose Fehler zu Kompromittierungen führen können. Das Gute daran ist, dass die durchschnittlichen Kosten pro Zwischenfall mit 485.000 US-Dollar insgesamt niedrigsten sind. Aufgrund ihrer Häufigkeit verursacht die Fahrlässigkeit von Angestellten jedoch die höchsten Kosten – pro Jahr insgesamt 6,6 Millionen US-Dollar.
  • Böswillige Insider: Obwohl böswillige Insider nur etwas mehr als ein Viertel aller Insider-Bedrohungen ausmachen, verursachen sie mit 648.000 US-Dollar pro Zwischenfall (bzw. 4,1 Millionen US-Dollar pro Jahr) deutlich höhere Kosten als fahrlässig handelnde Insider.
  • Kompromittierte Anwender (gestohlene Anmeldedaten): Anmeldedatendiebstahl entsteht, wenn Anmeldedaten von Mitarbeitern kompromittiert werden – viele Sicherheitsexperten stufen diesen Trend als höchst alarmierend ein. Der Anteil der Anmeldedatendiebstähle stieg von 14 % der Zwischenfälle im Jahr 2020 auf 18 % im Jahr 2022. Zudem wirken sich diese Zwischenfälle gravierender auf den Gewinn aus: Die Kosten für Anmeldedatendiebstahl in Unternehmen stiegen um 65 % – von 2,79 Millionen US-Dollar im Jahr 2020 auf heute 4,6 Millionen US-Dollar.

Finanzdienstleister und Einzelhändler verzeichnen sprunghaften Anstieg von Insider-Bedrohungen

Einige Branchen sind von Insider-Bedrohungen schwerer betroffen als andere. Unternehmen und Organisationen, die wie im Bank- oder Gesundheitswesen vertrauliche Informationen austauschen, werden für Bedrohungsakteure immer interessanter.

2022 stiegen die Kosten durch Insider-Bedrohungen in der Finanzdienstleistungsbranche um 47 % auf 21,25 Millionen US-Dollar. Zu einer noch stärkeren Zunahme kam es im Einzelhandel, wo die Kosten durch Insider-Zwischenfälle im Jahr 2022 um 62 % auf 16,56 Millionen US-Dollar stiegen.

Aufbau einer starken Abwehr

Die Abwehr von Insider-Bedrohungen hat für viele Unternehmen mittlerweile hohe Priorität, vor allem weil Vorstände und Geschäftsleitungen immer besser über das Thema Cybersicherheit im Bilde sind. Die Ausgaben dafür sind in den letzten acht Jahren um 80 % gestiegen, wobei die Eindämmung (pro Aktivität berechnet) die höchsten Kosten verursacht. Unternehmen wenden im Schnitt 184.548 US-Dollar zur Eindämmung der Folgen einer Insider-Bedrohung auf.

Investitionen machen jedoch nur einen Teil der Strategie aus. Um die Schäden eines Insider-bezogenen Zwischenfalls effektiv reduzieren zu können, müssen sich Unternehmen auf folgende Bereiche konzentrieren:

  • Eindämmung: Dieser Bereich macht 29 % der Kosten eines Insider-Zwischenfalls aus. Die Gesamtkosten eines Insider-Zwischenfalls lassen sich durch eine kürzere Eindämmungszeit verringern.
  • Untersuchung: 20 % der Kosten von Insider-Zwischenfällen entfallen auf die Aktivitäten zur Untersuchung und Zwischenfallreaktion.
  • Prävention: Sicher kennen Sie das Sprichwort „Angriff ist die beste Verteidigung“. In der Cybersicherheit gilt dieses Prinzip ganz besonders. Mitarbeiterschulungen und strenge Sicherheitsvorschriften tragen wesentlich dazu bei, das Ausmaß eines Insider-Angriffs zu begrenzen.

Schnelles Handeln

Unternehmen, die die Folgen von Sicherheitsverletzungen durch Insider-Bedrohungen reduzieren wollen, müssen ihre Reaktionszeit verkürzen. Zwischenfälle mit einer Eindämmungszeit von mehr als 90 Tagen weisen die höchsten jährlichen Gesamtkosten auf (17,19 Millionen US-Dollar). Im Gegensatz dazu verursachen Zwischenfälle mit weniger als 30 Tagen Eindämmungszeit die geringsten Gesamtkosten (11,23 Millionen US-Dollar).

Mehr als 50 % der Unternehmen nutzen Schulungen zur Sensibilisierung für Sicherheit und ergreifen Maßnahmen zur Datenverlustprävention (Data Loss Prevention, DLP), zur Abwehr von Insider-Bedrohungen (Insider Threat Management, ITM) und zum Überprüfen ihrer Auftragnehmer, um das Risiko von Insider-Bedrohungen zu minimieren. Bei der Abwehr von Insider-Bedrohungen sollte der Fokus auf dem Schutz der Daten vor Exfiltration durch fahrlässig handelnde Anwender sowie böswillige Insider liegen, die Informationen mittels kompromittierter Anmeldedaten stehlen.

Aufbau eines ITM-Programms

Unternehmen können die Risiken durch Insider nicht einfach ignorieren. Da die Zahl der Endpunkte stetig zunimmt und die Gewährleistung sicherer Zugriffe auf vertrauliche Daten immer schwieriger wird, müssen Unternehmen die Gesamtsituation analysieren und bewerten, wie – und wie gut – sie sich vor internen Bedrohungen schützen.

Allerdings reichen traditionelle Sicherheitsansätze hierfür nicht mehr aus. Unternehmen sollten daher die folgenden Strategien in Erwägung ziehen:

  • Implementierung eines personenzentrierten Cybersicherheitsansatzes für Insider Threat Management, der die Komplexitäten eines hybriden Arbeitsmodells berücksichtigt
  • Einsatz einer ITM-Plattform, die den Überblick verbessert sowie Kontext zu Datenänderungen bietet und damit die Eindämmungszeit für Insider-Bedrohungen verkürzen kann
  • Etablierung eines wiederholbaren Prozesses, mit dem Insider mit potenziell hohem Risiko identifiziert und überwacht werden können
  • Schaffung einer Transparenzkultur, damit Schwachstellen sorgfältig analysiert und die Reaktionsmaßnahmen beim nächsten Insider-Zwischenfall verbessert werden

Der Aufbau eines ITM-Programms muss nicht unbedingt kompliziert sein – Proofpoint kann Sie dabei unterstützen. Als Ausgangspunkt können Sie hier mehr über unsere ITM-Lösung erfahren.

Wenn Sie bereits ein ITM-Programm haben: Wissen Sie, ob das Programm die empfohlenen Vorgehensweisen einhält? Laden Sie den Bericht zu weltweiten Kosten von Insider-Bedrohungen 2022 herunter und erfahren Sie mehr über erfolgreiche Methoden, mit denen Ihr Unternehmen Insider-Bedrohungen vermeiden und Insider-bezogene Zwischenfälle eindämmen kann.